Настройка «Профиля группы доступа»

Команда «Профили группы доступа» открывает форму для создания/редактирования шаблонов с ролями пользователей. Вначале необходимо сформировать профили групп доступа, а затем создать группы пользователя, которые будут использовать роли этого профиля.
Например, формируется профиль доступа к складским документам. Затем следует сформировать группы доступа к документам конкретного склада/складов, используя сформированный профиль доступа к складским документам.

Для формирования/редактирования профиля группы доступа следует перейти по ссылке «Профили группы доступа» (раздел «Администрирование» → «Настройки пользователей и прав» → группа «Группы доступа»).

Реквизит «Показать» определяет отбор, используемый при отображении созданных в базе профилей:

• «Все профили» — выводятся все профили, записанные в базу данных;
• «Поставляемые» — профили входят в состав конфигурации и при обновлении релиза обновляются автоматически;
• «Не поставляемые» — все остальные профили, которые обновляются вручную;
• «Устаревшие» — профили содержат удаленные роли, и они не обновлены вручную.

Реквизит «Назначение» позволяет задать отбор профилей групп доступа по видам пользователей, для кого они предназначены. Для этого надо нажать кнопку «» (««Выбрать) и указать с помощью флажков, для кого предназначены профили групп доступа, например, «Пользователи».

Профили группы доступа могут быть объединены в группы. Для создания новой папки следует нажать кнопку «Создать группу», а затем в форме «Профили групп доступа (создание группы)» задать «Наименование» папки и выбрать в иерархическом списке «Вышестоящую группу (папку)».

Различают основные и дополнительные профили групп доступа:

• основной профиль описывает некоторую совокупность прав доступа, достаточную для выполнения в программе определенного участка работ;
• с помощью дополнительных профилей пользователям могут быть выданы какие-либо вспомогательные права дополнительно к основному профилю. Например, дополнительно к основным профилям «Бухгалтер» и «Кладовщик» предусмотрены профили «Ведение переписки с контрагентами» и «Печать непроведенных документов».

Новый профиль группы доступа можно создать с помощью команды «Создать» или нажатием кнопки («Создать новый элемент копированием текущего»).
Открывается форма «Профили групп доступа (создание)» с реквизитами «Наименование» профиля и «Группа (папку)» где будет размещен создаваемый профиль. Форма имеет три закладки:

• «Разрешенные действия (роли)»;
• «Ограничения доступа» — закладка доступна при заданной константе «Ограничивать доступ на уровне записей»;
• «Комментарий»;

Нажатие кнопки «Группы доступа» открывает форму «Группы доступа» с указанием групп доступа, которые используют текущий профиль доступа.

Пользователь получает новый набор прав при входе в программу. (если пользователь в момент изменений был в программе, то ему надо выйти и войти в программу заново).

На закладке «Разрешенные действия (роли)» выводится список всех RLS-ролей, который доступны в конфигурации, а так же список прав, которые можно включить в создаваемый профиль группы доступа. Следует поставить флаг у нужной RLS-роли и у нужного права.
Примечание. Права «Администратор системы» и «Полные права» доступны в поставляемом профиле «Администратор». Эти права можно назначить пользователю только в конфигураторе.

Роли для создания и редактирования обычных документов имеют наименование «(Торговое предприятие + RLS) Имя метаданных документа». Такая роль создается под каждый такой вид документа и будет включать в себя:
— полные права на данный вид документа (с учетом шаблона для RLS), кроме права физического удаления;
— права на чтение и просмотр для документов, ссылки которых используются в документе как документ-основание или для показа их информации на форме документа;
— права на чтение регистров, где этот документ является регистратором.
Примечание. Все служебные документы создаются скриптами в привилегированном режиме. Документы общей настройки базы создаются администраторами с полными правами и тоже не требуют RLS_ролей.

Роли для просмотра отчетов по области учета образуются вокруг набора регистров накопления и регистров сведений из одной предметной области. Чаще всего, это заметно по наличию отчетов, которые объединяют данные этих регистров. Соответственно, эти роли включают в себя права на:
— чтение записей регистров;
— чтение документов, которые являются регистраторами этих регистров;
— права на запуск отчетов, которые используют данные этих регистров и документов.

Обязательный набор ролей создаваемого профиля групп доступа:
— «(Торговое предприятие + RLS) Пользователь (базовый для разделения доступа)»;
— «(Торговое предприятие + RLS) Пользователь без прав на работу с документами»;
— «Базовые права»;
— «Запуск тонкого клиента»;
+ набор прав на редактирование каких-то документов
или
+ роль просмотра регистра остатков. Например, «(Торговое предприятие + RLS) Просмотр остатков номенклатуры».
- Просмотр вариантов отчетов

Если кнопка «Только выбранные» нажата, то в закладке «Разрешенные действия (роли)» выводятся только те строки из списка, у которых установлен флаг.
Если кнопка «отжата», то в закладке отображается весь список RLS-ролей, которые доступны в конфигурации, а так же полный список прав.

На закладке «Ограничения доступа» необходимо принять решение по поводу состава видов доступа, которые должны быть определены в профиле. Под видом доступа подразумевается некоторое правило, по которому «разрешается» доступ к данным программы. Список ролей и прав на закладке «Разрешенные действия (роли)» определяют список объектов базы данных, которые доступны пользователю, а виды доступа на закладке «Ограничения доступа» уточняют, как именно они должны быть доступны (в разрезе каких разрешенных и запрещенных значений). Примечание. Закладка доступна при заданной константе «Ограничивать доступ на уровне записей»;

Состав видов доступа в профиле формируется в верхней таблице закладки. При нажатии кнопки «Добавить» в таблицу добавляется строка, в которой следует из списка выбрать нужный вид доступа. Если в группе реквизитов «Опции разграничения доступа» закладки «Закладка «Документы»» функции «Настройки учета» опции не заданы, в списке видов доступа будут доступны два пункта: «Пользователи» и «Внешние пользователи».
При задании флагу у опции «Разграничить доступ по складам» в список «Вид доступа» добавляется пункт «Склады».
При задании флага у остальных опций из группы «Опции разграничения доступа» в список «Вид доступа» добавятся пункты: «Организации», «Торговые объекты», «ККМ (контрольно-кассовые машины»,

Для каждого вида доступа, заданного в профиле, можно указать одно из четырех «Значений доступа»:

1. «Все запрещены, исключения назначаются в группах доступа» — применяется в тех случаях, когда по умолчанию доступ ко всем данным должен быть закрыт, но для отдельных объектов в группах доступа могут быть настроены разрешения;
2. «Все разрешены, исключения назначаются в группах доступа» — аналогично предыдущему варианту, но по умолчанию все данные разрешены, а для отдельных объектов в группах доступа могут быть установлены исключения – запрет;
3. «Все запрещены, исключения назначаются в профиле» — используется тогда, когда в группах доступа не предполагается предоставлять возможность настройки для вида доступа; т.е. вся настройка должна быть выполнена непосредственно в самом профиле и не может быть изменена в группах доступа. Такие виды доступа скрыты в группах доступа.
4. «Все разрешены, исключения назначаются в профиле» — аналогично предыдущему варианту.

Если для значения доступа выбран 3-ий или 4-ый вариант, становится доступна нижняя таблица для ввода «Разрешенных», либо «Запрещенных» действий, которые добавляются в таблицу нажатием кнопки «Добавить», а значения действий затем выбираются из списка. Список значений определяется «Видом доступа» в текущей строке верхней таблицы.
Примечание. Запрещение и разрешение видов доступа рекомендуется заполнять в группе доступа, а не в профиле группы доступа.

На закладке «Комментарий» можно ввести текст для пояснения предназначения данного профиля.
Например, для профиля кассира может быть написано «Под профилем происходит оформление кассовых операций».